OrBit: новый скрытный Linux-бэкдор с необычным угоном потока выполнения

OrBit: новый скрытный Linux-бэкдор с необычным угоном потока выполнения

OrBit: новый скрытный Linux-бэкдор с необычным угоном потока выполнения

Проведенный в Intezer анализ показал, что новый Linux-бэкдор использует не встречавшийся ранее способ перехвата функций для внедрения в легитимные процессы. Подмену подключаемой библиотеки при этом почти невозможно обнаружить.

Зловред с кодовым именем OrBit устанавливается в систему как временный либо постоянный имплант. Стойкость ему придает возможность перехвата ключевых функций; основными задачами новобранца являются кража учетных данных, регистрация tty-команд и обеспечение удаленного доступа к зараженной машине по SSH.

Атака начинается с ELF-файла — дроппера с полезной нагрузкой (libdl.so), которая извлекается и добавляется к библиотекам общего пользования, загружаемым линкером. (Уровень детектирования на VirusTotal в обоих случаях 11/60, по состоянию на 7 июля.)

Вредонос умеет перехватывать функции трех библиотек — libc, libcap и PAM (подключаемый модуль аутентификации). Загрузка вредоносного разделяемого объекта в память при этом может осуществляться двумя способами: через добавление его в конфигурационный файл, используемый загрузчиком, или патчинг самого бинарника.

Для кражи данных вредонос ставит хуки на функции чтения/записи и регистрирует все, что записывается в рамках запущенных процессов, в том числе команды bash и sh. Результаты сохраняются во временных файлах, которые OrBit создает в зараженной системе, притом в гораздо большем количестве, чем аналогичные зловреды.

Перехват функций — хорошо известный прием бесфайловых вредоносных программ, но для подмены разделяемого объекта в памяти они обычно модифицируют переменную окружения LD_PRELOAD. Такую технику используют, например, Linux-бэкдоры HiddenWasp, BPFDoor, Symbiote. Новобранца OrBit отличает от них новаторский способ хукинга — по словам Intezer, почти «непроницаемый» (hermetic), который позволяет зловреду закрепиться в системе и уклоняться от обнаружения, параллельно воруя информацию и открывая SSH-дверь.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Уже в течение 2 недель Huawei не сможет поставлять ноутбуки с Windows

В конце марта истекает срок лицензии Microsoft, выданной компании Huawei. В результате уже с апреля китайский производитель не сможет продавать ноутбуки и другие клиентские устройства с операционной системой Windows.

Ещё в сентябре 2024 года корпоративное издание компании сообщило, что в новых поколениях ноутбуков Huawei планирует использовать собственную разработку — операционную систему HarmonyOS.

Более того, исполнительный директор компании Ю Чжэньдун ранее заявлял, что Huawei придерживается стратегии полного отказа от американских аппаратных и программных компонентов.

Как недавно сообщило китайское технологическое издание My Drivers, в уже выпускаемых ноутбуках серии Matebook Huawei начала применять операционные системы на базе Linux. Такие устройства будут доступны как на внутреннем китайском, так и на международных рынках. Соответствующие изменения уже отразились в официальных каталогах компании.

В продукции для внутреннего рынка также будет увеличиваться доля устройств на основе систем от китайских производителей и разработчиков. Например, уже представлена модель ноутбука Huaweі, названная Huaweем, которая будет оснащаться операционными системами китайских разработчиков и комплектующими отечественного производства. В частности, появятся устройства с системой, разработанной китайскими компаниями, такие как ранее упомянутая HarmоnyOS.

Также компания намерена предложить рынку всё больше продукции, построенной на аппаратных и программных решениях собственного или китайского происхождения. Например, в фирменных устройствах Huawei для внутреннего рынка будут активнее использоваться китайские операционные системы и аппаратные компоненты от местных разработчиков и производителей. Так, недавно анонсированы модели, работающие полностью на отечественных китайских решениях.

По данным iXBT, уход от Windows может повлиять на спрос продукции Huawei на международном рынке, но при этом практически не затронет продажи компании в Китае.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru